Lavalite
Уязвимости
19
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00935
Распределение по критичности
Критический
1
Высокий
4
Средний
14
Низкий
0
Затронутые диапазоны версий
≤ 10.1.0≤ 5.7.0
Также сопоставлено как (исходные строки): lavalite
Топ уязвимостей
CVE-2023-27238Обнаружено, что LavaLite CMS v 9.0.0 уязвим для отравления веб-кэша.
CVE-2025-70866LavaLite CMS 10.1.0 уязвима для неправильного контроля доступа. Аутентифицированный пользователь с низкоуровневыми привилегиями (работа пользователя) может напрямую получить доступ к админ-бэкенду, войдя в систему через /admin/login. Уязвимость существует, потому что админ и пользовательские аутентификации имеют одного и того же поставщика пользователей без проверки контроля доступа на основе ролевых.
CVE-2023-36984LavaLite CMS v 9.0.0 уязвима для раскрытия конфиденциальных данных.
CVE-2023-36983LavaLite CMS v 9.0.0 уязвима для раскрытия конфиденциальных данных.
CVE-2022-42188В Lavalite 9.0.0 cookie XSRF-TOKEN уязвим для атак path traversal, что позволяет получить доступ на чтение к произвольным файлам на сервере.
CVE-2024-31828Уязвимость Cross Site Scripting в Lavalite CMS v.10.1.0 позволяет злоумышленникам выполнять произвольный код и получать конфиденциальную информацию через специально созданную полезную нагрузку в URL-адресе.
CVE-2023-27237Обнаружено, что LavaLite CMS v 9.0.0 уязвим для атак с внедрением заголовка хоста.
CVE-2019-18883XSS существует в Lavalite CMS 5.7 через поле имени или должности admin/profile.
CVE-2023-30124LavaLite v9.0.0 уязвим для межсайтового скриптинга (XSS).
CVE-2020-36397Сохраненная уязвимость межсайтового скриптинга (XSS) в компоненте /admin/contact/contact LavaLite 5.8.0 позволяет аутентифицированным злоумышленникам выполнять произвольные веб-скрипты или HTML через специально созданную полезную нагрузку, введенную в параметр "New".
CVE-2020-36396Сохраненная уязвимость межсайтового скриптинга (XSS) в компоненте /admin/roles/role LavaLite 5.8.0 позволяет аутентифицированным злоумышленникам выполнять произвольные веб-скрипты или HTML через специально созданную полезную нагрузку, введенную в параметр "New".
CVE-2020-36395Сохраненная уязвимость межсайтового скриптинга (XSS) в компоненте /admin/user/team LavaLite 5.8.0 позволяет аутентифицированным злоумышленникам выполнять произвольные веб-скрипты или HTML через специально созданную полезную нагрузку, введенную в параметр "New".
CVE-2020-28124Межсайтовый скриптинг (XSS) в LavaLite 5.8.0 через поле Address.
CVE-2019-17434LavaLite до 5.7 имеет XSS через специально созданное имя учетной записи, которое неправильно обрабатывается на экране Manage Clients.
CVE-2018-16551LavaLite 5.5 имеет XSS через URI /edit, как показано на примере client/job/job/Zy8PWBekrJ/edit.
CVE-2017-1000467LavaLite версии 5.2.4 уязвим для хранимой уязвимости межсайтового скриптинга на странице создания блога, что может привести к нарушению обслуживания и выполнению кода javascript.
CVE-2025-71177Версии LavaLite CMS до 10.1.0 включите в себя сохраненную уязвимость сценариев с пересеченной площадкой в функции создания и поиска пакета. Аутентифицированные пользователи могут поставлять созданные HTML или JavaScript в полях «Имя или описание» пакета, которые сохраняются, а затем отображаются без надлежащего кодирования вывода в результатах поиска пакета. Когда другие пользователи просматривают результаты поиска, которые включают вредоносный пакет, введенный скрипт выполняется в их браузерах, что потенциально позволяет захватить сеанс, кражу учетных данных и несанкционированные действия в контексте жертвы.
CVE-2020-23700Уязвимость Cross Site Scripting (XSS) в LavaLite-CMS 5.8.0 через функцию Menu Links.
CVE-2020-23234Уязвимость межсайтового скриптинга (XSS) существует в LavaLite CMS 5.8.0 через функцию Menu Blocks, которую можно обойти с помощью обработчиков HTML-событий, таких как "ontoggle".